Купить книгу на OZON.ru

И еде одним компонентом, настройки взаимодействия операционной системы с которым влияют на производительность Windows, является дисковая подсистема.

Режимы работы контроллера IDE

Жесткие диски и приводы IDE могут работать в нескольких режимах. В зависимости от режима определяется и максимальная доступная жесткому диску (или приводу IDE) скорость передачи данных.

Определить текущий режим, или сменить его на режим PIO можно при помощи вкладки ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ диалога СВОЙСТВА соответствующие канала IDE. Данный диалог можно отобразить при помощи оснастки ДИСПЕТЧЕР УСТРОЙСТВ (консоль devmgmt.msc).

Настройки режимов работы дисков и приводов IDE содержатся в следующих параметрах REG_DWORD типа, расположенных в ветви реестра вида HKLM\SYSTEM\CurrentControlSet\Enum\PCIIDE\IDEChannel\«идентификатор канала»\Device Parameters\«номер устройства».

UserTimingModeAllowed Данный параметр определяет максимальный режим работы жестких дисков.

Если значения этих параметров равно 0хffffffff, тогда диски могут работать как в режиме UDMA, так и в PIA. А если значение параметра равно 0х0000001f, тогда только в PIA.

DeviceTimingMode Данный параметр определяет вид режима UDMA, в котором будут работать жесткие диски. Он может принимать следующие значения.

• 0x00010010. Используется режим UDMA Mode 5 (ATA100).
• 0x000fffff. Используется режим UDMA Mode 5 (ATA100).
• 0x00008010. Используется режим UDMA Mode 4 (ATA66).
• 0x0000ffff. Используется режим UDMA Mode 4 (ATA66).
• 0x00002010. Используется режим UDMA Mode 2 (ATA33).
• 0x00000410. Используются режимы Multi-Word DMA Mode 2 и PIO 4.

Оптимизация работы дисковых накопителей

Некоторые дисковые накопители, например, жесткие диски или флеш-память, позволяют откорректировать режим своей работы.

Для этого достаточно воспользоваться элементами вкладки ПОЛИТИКА диалога СВОЙСТВА соответствующего дискового накопителя. Данный диалог отображается при помощи оснастки ДИСПЕТЧЕР УСТРОЙСТВ (devmgmt.msc).

Элементы вкладки ПОЛИТИКА изменяют значения параметров REG_DWORD типа ветви реестра HKLM\SYSTEM\CurrentControlSet\Enum\IDE\«диск»\«ID диска»\Device Parameters\Disk.

• UserRemovalPolicy. Значение данного параметра изменяется при помощи переключателя ОПТИМИЗИРОВАТЬ ДЛЯ БЫСТРОГО УДАЛЕНИЯ. Этот переключатель по умолчанию установлен для съемных устройств.
• UserWriteCacheSetting. Значение данного параметра изменяется при помощи флажка РАЗРЕШИТЬ КЭШИРОВАНИЕ ЗАПИСИ НА ДИСК.
• CacheIsPowerProtected. Значение данного параметра изменяется при помощи флажка ВКЛЮЧИТЬ ПОВЫШЕННУЮ ПРОИЗВОДИТЕЛЬНОСТЬ.

Шифрование диска BitLocker

Нововведением операционной системы Windows Vista является возможность шифрования всего раздела диска при помощи механизма BitLocker. Данный механизм шифрования можно назвать дополнением к уже рассмотренной нами файловой системе EFS. Он может работать вместе с ней, и позволяет еще сильнее усилить безопасность данных пользователя.

Чип TPM По умолчанию для работы механизма BitLocker необходимо, чтобы материнская плата компьютера обладала чипом TPM. Именно с помощью этого чипа механизм BitLocker хранит секретные данные пользователя, необходимы для расшифровки содержимого раздела диска. Однако при помощи групповых политик можно отключить данное ограничение и использовать механизм BitLocker на компьютерах без чипа TPM. В этом случае для хранения секретных данных механизм BitLocker будет использовать USB-носитель.

Шифрование и дешифровка Шифрование диска выполняется при помощи 128- или 256-разрядного алгоритма шифрования AES.

После шифрования раздела диска, работа с ним происходит так же, как и с обычным разделом диска — если вы обладаете нужными полномочиями, необходимые вам данные расшифровываются на лету.

Настройки шифрования диска можно изменить при помощи параметров типа REG_DWORD, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\FVE.

ActiveDirectoryBackup. Если значение данного параметра равно 1, тогда будет разрешено выполнять архивирование важных данных механизма BitLocker (пароль восстановления, различные идентификационные данные и ключ шифрования) на контроллер домена. Архивирование данных BitLocker на контроллере домена позволяет повысить отказоустойчивость механизма шифрования.

RequireActiveDirectoryBackup. Если значение данного параметра равно 1, тогда перед выполнением шифрования система должна выполнить архивирование данных BitLocker на контроллере домена. Если архивирование данных не будет выполнено, шифрование данных будет отменено.

ActiveDirectoryInfoToStore. Если значение данного параметра равно 1, тогда на контроллере домена будет архивироваться вся дополнительная информация, необходимая для восстановления. Если значение данного параметра равно 2, тогда на контроллере домена будет архивироваться только пароль восстановления.

DefaultRecoveryFolderPath. Данный параметр имеет тип REG_EXPAND_SZ. Он содержит в себе путь к папке для сохранения паролей восстановления по умолчанию.

UseRecoveryDrive. Если значение данного параметра равно 1, тогда перед шифрованием необходимо сохранить ключ шифрования на съемном носителе. Это позволяет повысить отказоустойчивость механизма шифрования.

UseRecoveryPassword. Если значение данного параметра равно 1, тогда перед шифрованием необходимо указать пароль шифрования и сохранить его. Это позволяет повысить отказоустойчивость механизма шифрования.

EnableNonTPM. Если значение данного параметра равно 1, тогда использование механизма BitLocker на компьютерах без чипа TPM будет разрешено.

UsePartialEncryptionKey. Если значение данного параметра равно 0, тогда TPM, при запуске компьютера, не будет требовать предъявления USB-флешки, содержащей ключ запуска. Если значение данного параметра равно 1, тогда значение параметра UsePIN должно быть равно 0.

UsePIN. Если значение данного параметра равно 0, тогда TPM, при запуске компьютера, не будет требовать ввод PIN кода (от 2 до 20 символов). Если значение данного параметра равно 1, тогда значение параметра UsePartialEncryptionKey должно быть равно 0.

EncryptionMethod. Значение данного параметра определяет алгоритм шифрования, который будет использоваться при следующем выполнении шифрования. Если значение параметра равно 1 (по умолчанию), тогда будет использоваться шифрование при помощи 128-битного ключа алгоритма AES с диффузором. Если значение параметра равно 2, тогда будет использоваться шифрование при помощи 256-битного ключа алгоритма AES с диффузором. Если же значение параметра равно 3 — будет использоваться шифрование при помощи 128-битного ключа алгоритма AES без диффузора. Ну а если значение параметра равно 4 — 256-битного ключа алгоритма AES без диффузора.

MorBehavior. Если значение данного параметра равно 1, тогда при перезагрузке компьютера не будет выполняться перезапись содержимого памяти. Это позволяет повысить скорость перезагрузки компьютера, хотя безопасность работы BitLocker будет понижена.

Также вы можете изменить профиль проверки целостности компьютера, используемый чипом TPM по умолчанию для определения применяемых способов защиты ключа шифрования BitLocker. Для этого нужно изменить значения параметров REG_DWORD типа, расположенных в подразделе PlatformValidation ветви реестра.

По умолчанию используется проверка изменений базовой точки начала доверительных измерений (CRTM), BIOS и расширений платформы (регистр PCR 0), кода Option ROM (PCR 2), основной загрузочной записи (MBR) (PCR 4), загрузочного сектора NTFS (PCR 8), загрузочного блока NTFS (PCR 9), диспетчера загрузки (PCR 10) и управления доступом BitLocker (PCR 11). Если какой-то из этих компонентов окажется измененным, TPM запретить расшифровку данных механизмом BitLocker и начнет процесс восстановления.

Включение шифрования BitLocker

Для работы с механизмом шифрования BitLocker достаточно воспользоваться мастером ШИФРОВАНИЕ ДИСКА BITLOCKER, доступ к которому можно получить при помощи папки ПАНЕЛЬ УПРАВЛЕНИЯ.

Данный мастер содержит в себе список разделов компьютера, для шифрования которых можно использовать механизм BitLocker. Чтобы выполнить шифрование содержимого нужного раздела, достаточно воспользоваться ссылкой ВКЛЮЧИТЬ BITLOCKER, отображаемой напротив соответствующего раздела.

После этого мастер попросит вас сохранить загрузочный ключ, необходимый для будущей расшифровки содержимого раздела, на USB-носителе, после чего установить пароль восстановления, и установить загрузочный PIN.

Модуль TPM

Модулем TPM оснащаются современные материнские платы. Основное назначение данного модуля — хранение конфиденциальных данных системы и пользователя.

Настройки модуля TPM можно изменить при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\TPM.

ActiveDirectoryBackup. Если значение данного параметра равно 1, тогда будет разрешено копировать основную информацию о данных владельца TPM (криптографический хеш главного пароля TPM) на контроллер домена Active Directory.

RequireActiveDirectoryBackup. Если значение данного параметра равно 1, копирование основной информации владельца TPM на контроллер домена Active Directory будет обязательным. При этом пароль владельца TPM не будет назначен, если архивирование нового пароля на контроллере домена не прошло успешно.

Также некоторые возможности работы TPM можно настроить при помощи параметров REG_DWORD типа ветви реестра HKLM\SOFTWARE\Policies\Microsoft\TPM\BlockedCommands.

Enabled. Если значение данного параметра равно 1, тогда операционная система будет использовать параметры строкового типа, расположенные в дочернем подразделе List ветви реестра, чтобы запретить определенные команды TPM.

IgnoreDefaultList. Если значение данного параметра равно 1, тогда список команд TPM, выполнять которые по умолчанию запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра, или локальный список команд TPM, по-прежнему будут работать.

IgnoreLocalList. Если значение данного параметра равно 1, тогда локальный список команд TPM, выполнять которые запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра по-прежнему будет работать. Также будет работать список, определенный по умолчанию.

Служба Основные службы доверенного платформенного модуля

Тип запуска: вручную.
Учетная запись: локальная служба.
Дополнительные привилегии: нет.
Файлы службы: tbssvc.dll.
Исполняемый файл: svchost.exe -k LocalService.
Подраздел реестра: TBS.
Службы, необходимые для работы данной: нет.

Работа модуля TPM основана на данной службе. После отключения данной службы будет невозможен доступ к чипу TPM и всем данным, защищенным с помощью хранящихся в нем ключей.

Механизм ReadyBoost и гибридные диски

Нововведением Windows Vista является поддержка гибридных жестких дисков и механизма ReadyBoost. Особенностью обоих этих нововведений является работа с флеш-памятью.

Гибридные жесткие диски

Гибридным жестким дисков называется жесткий диск, который содержит в себе дополнительный объем флеш-памяти, предназначенный для временного хранения часто используемых данных.

Благодаря тому, что доступ к флеш-памяти в несколько раз быстрее доступа к жесткому диску, использование гибридных жестких дисков позволяет повысить быстродействие работы операционной системы.

Настроить работу гибридных жестких дисков можно при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\NvCache.

OptimizeBootAndResume. Если значение данного параметра равно 0, тогда операционная система не будет использовать NV-кэш гибридных жестких дисков для ускорения начальной загрузки компьютера и восстановления из спящего режима.

EnablePowerModeState. Если значение данного параметра равно 0, тогда операционная система не будет использовать NV-кэш для хранения используемых данных (вместо жесткого диска) при переходе в энергосберегающий режим. Это может повысить время работы компьютера от батареи в энергосберегающем режиме.

EnableNvCache. Если значение данного параметра равно 0, тогда операционная система не будет использовать NV-кэш всех гибридных дисков.

EnableSolidStateMode. Если значение данного параметра равно 0, тогда операционная система не будет записывать в NV-кэш такие часто применяемые файлы, как метаданные файловой системы и реестр.

Служба ReadyBoost

Тип запуска: автоматически.
Учетная запись: система.
Дополнительные привилегии: SECHANGENOTIFYPRIVILEGE.
Файлы службы: emdmgmt.dll.
Исполняемый файл: svchost.exe -k LocalSystemNetworkRestricted.
Подраздел реестра: EMDMgmt.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs),
 EXTERNAL MEMORY DEVICES CACHING DRIVER (Ecache), ЛИЦЕНЗИРОВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (slsvc).

Механизм ReadyBoost основан на работе одноименной службы. Он обеспечивает возможность использования флеш-памяти, подключенной к компьютеру, в качестве дополнительной оперативной памяти.

Часто используемые данные, вместо того, чтобы сбрасываться на жесткий диск (при нехватке места в оперативной памяти), будут помещаться на флеш-память. Тем самым будет повышена скорость доступа к ним.

Для работы механизма ReadyBoost необходимо, чтобы флеш-память удовлетворяла следующим требованиям.

• Использование интерфейса USB 2.0.
• Пропускная способность не менее 3.5 Мб/сек для объема 4 Кб (при произвольном равномерном считывании данных с устройства), и 2.5 Мб/сек для 512 Кб (при произвольной равномерной записи данных на устройство).
• Не менее 64 Мбайт свободного места.

Настройка работы с флеш-памятью

Если ваша флеш-память удовлетворяет требованиям механизма ReadyBoost, тогда в диалоге СВОЙСТВА значка раздела флеш-памяти появится дополнительная вкладка, с помощью которой можно включить и настроить параметры работы механизма ReadyBoost с данной флеш-памятью.

Также включить механизм ReadyBoost можно будет при подключении устройства к компьютеру. Во время подключения устройства отобразится диалог АВТОЗАПУСК, в котором нужно выбрать ссылку УСКОРИТЬ РАБОТУ СИСТЕМЫ.

Настройки флеш-памяти в реестре

Настройки взаимодействия службы READYBOOST с флеш-памятью содержатся в виде параметров REG_DWORD типа ветви HKLM\Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt.

• CacheSizeInMB. Значение данного параметра содержит объем (в мегабайтах) внешнего устройства, используемый механизмом READYBOOST в качестве дополнительной оперативной памяти.
• CacheStatus. Если значение данного параметра равно 1, тогда данное внешнее устройство разрешено использовать в качестве дополнительной оперативной памяти.
• DoRetestDevice. Если значение данного параметра равно 1, тогда механизм READYBOOST, при следующем подключении флеш-памяти, заново протестирует ее характеристики на возможность использования в качестве дополнительной оперативной памяти.
• PhysicalDeviceSizeMB. Значение данного параметра содержит объем (в мегабайтах) флеш-памяти.
• ReadSpeedKBs. Значение данного параметра определяет скорость чтения с флеш-памяти (в килобайтах), измеренную при ее тестировании.
• USBVersion. Значение данного параметра определяет версию USB.
• WriteSpeedKBs. Значение данного параметра определяет скорость записи на флеш-память (в килобайтах), измеренную при ее тестировании.

Настройки службы ReadyBoost

Основные настройки механизма READYBOOST содержатся в параметрах REG_DWORD типа, расположенных в ветви реестра HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters.

Данная ветвь описывает настройки драйвера ecache.sys, управляющего использованием флеш-памяти в качестве дополнительной оперативной памяти.

• UseReadyBoot. Данный параметр определяет, разрешено ли использование механизма READYBOOST.
• CompressionEnabled. Данный параметр определяет, разрешено ли сжатие данных, помещаемых на флеш-память, используемую в качестве дополнительной оперативной памяти.

Также данная ветвь реестра содержит два дочерних подраздела.

DiskAssessment Данный подраздел содержит параметры REG_DWORD типа, определяющие настройки работы жесткого диска.

• DiskNumber. Определяет номер диска.
• RPM. Определяет количество оборотов жесткого диска в секунду.
• SizeInGb. Определяет размер жесткого диска.
• VolumeSerialNumber. Определяет серийный номер жесткого диска.

ReadyBootStats Данный подраздел содержит настройки работы механизма READYBOOST и настройки определения пригодности флеш-памяти для использования в качестве дополнительной оперативной памяти.

Другие настройки

Также операционная система Windows Vista позволяет изменить следующие настройки взаимодействия с дисковыми подсистемами.

Сообщения о недостатке свободного места на диске

По умолчанию по заполнении определенного объема жесткого диска (если остается меньше 10% свободного места) операционная система выдает предупреждение о том, что для нормальной работы Windows желательно освободить некоторый объем жесткого диска.

Определить процент свободного места на диске, по истечении которого выдается предупреждающее сообщение, можно при помощи параметра REG_DWORD типа DiskSpaceThreshold, расположенного в ветви реестра HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters. Данный параметр может принимать значения в диапазоне от 0 до 64.

Также можно полностью отключить механизм выдачи предупреждающего сообщения. Для этого достаточно присвоить значение 1 параметру REG_DWORD типа NoLowDiskSpaceChecks, расположенному в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.

Оснастка Редактор объектов групповой политики

Некоторые настройки ограничений на доступ к дисковым накопителям можно настроить при помощи элементов подраздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ.

Элементы данного подраздела изменяют параметры строкового типа ветви HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

AllocateCDRoms Значение данного параметра изменяется при помощи элемента УСТРОЙСТВА: РАЗРЕШИТЬ ДОСТУП К ДИСКОВОДАМ КОМПАКТ-ДИСКОВ ТОЛЬКО ЛОКАЛЬНЫМ ПОЛЬЗОВАТЕЛЯМ.

Данный параметр определяет, будет ли доступен дисковод удаленным пользователям.

AllocateDASD Значение данного параметра изменяется при помощи элемента УСТРОЙСТВА: РАЗРЕШИТЬ ФОРМАТИРОВАНИЕ И ИЗВЛЕЧЕНИЕ СЪЕМНЫХ НОСИТЕЛЕЙ.

Данный параметр применяется для носителей с файловой системой NTFS. Он может принимать следующие значения.

• 0. Выполнение этих операций разрешено администраторам.
• 1. Выполнение этих операций разрешено администраторам и опытным пользователям.
• 2. Выполнение этих операций разрешено администраторам и интерактивным пользователям.

AllocateFloppies Значение данного параметра изменяется при помощи элемента УСТРОЙСТВА: РАЗРЕШИТЬ ДОСТУП К ДИСКОВОДАМ ГИБКИХ ДИСКОВ ТОЛЬКО ЛОКАЛЬНЫМ ПОЛЬЗОВАТЕЛЯМ.

Данный параметр определяет, будет ли доступен дисковод удаленным пользователям.

Служба Виртуальный диск

Тип запуска: вручную.
Учетная запись: система.
Дополнительные привилегии: нет.
Файлы службы: нет.
Исполняемый файл: vds.exe.
Подраздел реестра: vds.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs),
 PLUG AND PLAY (PlugPlay).

Управляет работой дисков, файловых систем и т.д. Данная служба используется многими системными программами, например, оснасткой УПРАВЛЕНИЕ ДИСКАМИ.

Продолжение следует